Logga in på Bitwarden med ett lösenord

Idag kan alla användare börja logga in i sina Bitwarden-webbvalv med en lösenordsnyckel, utan att skriva in ett användarnamn eller lösenord. Den här betaimplementeringen använder det framväxande

PRF WebAuthn-tillägget

för lösenord, vilket gör att lösenord kan användas som en del av krypteringsprocessen, vilket ger bekvämlighet och end-to-end-kryptering.



Vad det betyder för Bitwarden-användare

Mer säkerhet för alla

Nyckelnycklar är starkare och säkrare än lösenord, går inte att gissa och är resistenta mot nätfiske. Att använda en lösenordsnyckel för att logga in på Bitwarden-konton kombinerar lösenordsnyckelns säkerhet med noll kunskap, end-to-end krypteringsskydd som Bitwarden levererar för användarnas känsliga information och autentiseringsuppgifter. I enlighet med Bitwardens vision om att ge säkerhet till alla, ingår inloggning med en lösenordsnyckel i varje Bitwarden-plan, inklusive gratis.

Logga in med ett enda steg

Denna nya innovativa lösenordsteknologi låter Bitwarden-användare autentisera och dekryptera sina konton i ett enda steg – allt utan att använda sitt Bitwarden-lösenord, 2FA eller ens inloggnings-e-postadress. Presentera helt enkelt den PRF-kompatibla lösenordsnyckeln och aktivera dess användarverifieringsutmaning, så kommer en användare att loggas in på sitt Bitwarden-konto. Detta effektiviserar inloggningen avsevärt samtidigt som det lägger till säkerhet eftersom lösenordet är otänkbart och bara fungerar för den officiella Bitwarden-webbappen, vilket skyddar mot skadliga nätfiskeförsök.

Se hur det fungerar med denna korta demo:





Lösenord och end-to-end-kryptering

Bitwarden använder en ny lösenordsteknologi för att implementera inloggningsfunktionen för lösenordsnyckel, vilket placerar Bitwarden i framkanten av innovation med lösenordsautentisering och kryptering. Detta ger ett proof-of-concept och ett exempel för andra end-to-end-krypterade applikationer att följa.



Kryptering behöver en statisk nyckel

Applikationer som är end-to-end-krypterade, som Bitwarden, måste både autentisera användaren och säkert kryptera och dekryptera data. För att göra det behövs en krypteringsnyckel, bestående av en lång rad slumpmässiga tecken, som måste vara konstant och oföränderlig, till exempel vad som

härrör från ett lösenord

. Lösenord kan dock inte användas för kryptering på egen hand. Av säkerhetsskäl genererar inloggningsprocessen för lösenordsnyckel olika värden med varje autentisering, och själva lösenordsnyckeln delas inte med applikationen.



PRF-tillägget för lösenord

Ange

PRF WebAuthn-tillägget,

en framväxande metod för att härleda ett unikt, fast värde från en lösenordsnyckel. Denna teknik hämtar en krypteringsnyckel från en lösenordsnyckel i relation till en viss plats, som sedan kan användas för att tillförlitligt kryptera och dekryptera data.

PRF WebAuthn-tillägget tillåter Bitwarden-klienten att använda en lösenordsnyckel för dubbla ändamål: för att autentisera användaren och för att hämta en krypteringsnyckel och dekryptera data, vilket ger åtkomst till användarens Bitwarden-konto. Resultatet är en snabb, bekväm och säker inloggning som upprätthåller noll kunskap, end-to-end-kryptering och utmärker Bitwarden som en lösenordslös säkerhetsledare.



Funktionens tillgänglighet

I den här betaversionen kommer användare på alla Bitwarden-plan med kompatibla lösenord och webbläsare att kunna ställa in upp till fem lösenord för att logga in på Bitwardens webbapp. För närvarande stöder webbläsare baserade på Chromium, som Google Chrome och Microsoft Edge, PRF WebAuthn. Denna funktion kommer till andra Bitwarden-klienter i framtida utgåvor.

För lösenord som inte stöder PRF WebAuthn-tillägget, såsom de som skapats i andra lösenordsleverantörer, kan lösenordet fortfarande autentisera användaren utan e-postadress och 2FA, medan Bitwarden-lösenordet skulle användas för dekryptering.

